Статья только в электронной версии журнала
Нынешний год должен показать, чем для компьютерной индустрии обернется утрата фирмой RSA Securities (www.rsa.com) монополии на всемирно известный алгоритм шифрования. 20 сентября закончится срок действия патента на разработанную ею систему шифрования с открытым ключом, после чего последняя станет общедоступной.
Конечно, не следует думать, что для фирмы, которая на протяжении последних трех лет активно работала над диверсификацией своих продуктов и услуг, потеря монопольного права на криптотехнологию будет жестоким ударом. Лицензирование алгоритма уже перестало быть ее единственным источником дохода. Совершенно ясно только одно: уже в этом году можно ожидать снижения стоимости продуктов, обеспечивающих шифрование высокой надежности.
Свою роль в этом процессе сыграет и недавнее решение администрации Клинтона, отменившей в январе львиную долю ограничений на экспорт криптосистем. Теперь производителям систем обеспечения безопасности больше не придется разрабатывать свои продукты в двух версиях - для внутреннего рынка и для зарубежных пользователей, и это - хорошая новость для руководителей отделов информационных технологий.
“Между нами говоря, я могу предсказать, что цена на программы качественного шифрования упадет вдвое, по крайней мере для независимых поставщиков ПО, - говорит Уолтер Джоунз, менеджер информационных услуг одной из вашингтонских производственных компаний. - Вот только захотят ли сами эти производители снизить свои цены?”
Источники дохода RSA
Прекращения срока патента с нетерпением ожидает немало компаний. Некоторые из них, например Computer Associates International (Исландия, шт. Нью-Йорк), уже заявили о своих планах по использованию алгоритма RSA.
Сама же фирма RSA готовится к появлению на рынке новых продуктов, способных конкурировать с ее комплектом криптоинструментария BSafe. Как ожидается, они, используя алгоритм RSA, помогут создавать новые, более доступные варианты этой системы шифрования. Самое интересное, что разработчикам даже не придется корпеть над созданием таких продуктов, поскольку в их основу можно будет закладывать исходные тексты RSA.
“Это приведет к настоящему буму в шифровании, - уверен Нарендер Мангалем, директор Computer Associates по стратегическому планированию в области шифрования. - Что касается технических аспектов, то вы все чаще будете встречать алгоритм RSA в самых разных продуктах”.
Этот алгоритм фактически уже стал стандартом электронной криптографии с открытым ключом, предоставив пользователям возможность обмениваться шифрованными сообщениями. Он был разработан в 70-х годах, но широкое распространение получил лишь в последнее десятилетие, когда корпорации Lotus Development и Microsoft лицензировали его для своих систем групповой работы.
Представители RSA стараются продемонстрировать, что истечение срока действия патента особого значения для них не имеет. В 1998 г., утверждают они, продажа семи комплектов инструментария BSafe принесла 48 млн. долл., что составило 25% от общих доходов фирмы. А ведь BSafe - это не только алгоритм RSA. В состав этого продукта входит исходный текст и целый ряд общедоступных алгоритмов, включая DES (Data Encryption Standard - стандарт шифрования данных) и Diffie-Hellman - исходный алгоритм шифрования с открытым ключом.
К тому же, судя по заявлениям руководства компании на состоявшейся в Сан-Хосе (шт. Калифорния) конференции RSA Conference 2000, интерес к лицензированию самого алгоритма за последние несколько лет значительно снизился и сегодня эта статья дохода составляет лишь малую часть общего бюджета компании.
“Вот уже несколько лет мы делаем все возможное, чтобы избежать зависимости от одного-единственного патента”, - отметил Скотт Шнелл, старший вице-президент RSA по маркетингу.
Да и сама фирма за последние четыре года подверглась коренным изменениям. В первые годы своего существования она могла рассчитывать исключительно на интеллектуальную собственность, воплощенную в алгоритме RSA и некоторых других технологиях шифрования.
Но четыре года назад RSA была приобретена фирмой Security Dynamics Technologies (Бедфорд, шт. Массачусетс), производящей аппаратные средства защиты, после чего превратилась в ее автономное подразделение. А в прошлом году произошло слияние подразделений, после чего сама Security Dynamics стала называться RSA. Тогда же компания вышла на рынок инфраструктур с открытым ключом.
Приобретая лицензию на алгоритм RSA, независимые разработчики ПО, как правило, лицензировали весь инструментальный комплект BSafe. Стоимость такой сделки могла колебаться в значительных пределах. Как рассказал Шнелл, около 25 тыс. долл. нужно было внести в качестве предоплаты, а затем выплачивать часть дохода, которая могла варьироваться от долей процента до 2%.
Следует отметить, что, судя по утверждению независимых разработчиков ПО, условия лицензирования RSA были далеко не стандартными. Скажем, крупные компании наподобие Microsoft или AT&T получали право использовать алгоритм на весьма льготных условиях. AT&T, например, даже сумела предоставить лицензию на алгоритм RSA корпорации Certicom для создания альтернативного комплекта инструментов шифрования. Небольшие компании были далеко не столь удачливы при заключении сделок.
“Получить лицензию RSA всегда было непросто, - отмечает Сатвик Кришнамурти, вице-президент фирмы Valicert (Маунтин-Вью, шт. Калифорния) по деловому развитию. - Мне кажется, что после того, как алгоритм станет общедоступным, ситуация в корне изменится и цена безопасности станет намного ниже”.
Нет ничего постояннее атак на узлы электронной коммерции
Дж. К.
Проводя долгие темные ночи у своего компьютера в Торонто, Марк Фабро видит много такого, что буквально приводит в дрожь владельцев электронных магазинов. Перед его глазами проплывают взломанные базы данных с информацией о кредитных карточках, идентификаторы сетей, лазейки в системы электронной коммерции. Короче говоря, Фабро становится свидетелем буквально всех прорывов через рубежи безопасности, которые только могут пригрезиться изможденному бессонными ночами менеджеру по информатизации. А ведь Фабро - вовсе не хакер. Он всего лишь бродит по гиперссылкам подпольных хакерских Web-узлов.
“То, что произошло с CD Universe, постоянно происходит с десятками тысяч других компаний. Просто на этот раз событие попало в центр внимания”, - говорит он, имея в виду январский инцидент, когда неизвестный хакер смог проникнуть в онлайновый магазин и похитить номера кредитных карточек.
Фабро занимает пост директора корпорации Secure Computing (Сан-Хосе, шт. Калифорния), а в его задачи входит разработка новых услуг по оценке безопасности узлов клиентов в мировом масштабе. Это его работа - отслеживать подпольные узлы, оценивать самые свежие приемы атак и стараться своевременно выявлять слабые места компьютерной индустрии.
Взлом CD Universe нисколько не удивил Фабро. Ему показалось странным другое: почему такие события не происходят гораздо чаще?
“Практически в каждой крупной компании существует план действий в чрезвычайных ситуациях, - заявил Фабро в своем выступлении на конференции RSA Conference 2000. - Как правило, в нем говорится, что нужно делать в случае взлома узла. Зачем это нужно? Да затем, что такие взломы идут сплошной чередой”.
Поясняет Фабро и то, почему мы так редко слышим о серьезных взломах. По его словам, плохие известия могут оказаться для компании сущей катастрофой. CD Universe уже столкнулась с серьезными проблемами в отношениях с клиентами, и ей придется теперь немало потрудиться, чтобы вернуть своих покупателей в магазин. Что же тогда говорить о банках и медицинских компаниях? Здесь подобный взлом может привести даже к расследованию на правительственном уровне, которое затронет не только хакера, но и саму атакованную компанию.
В большинстве случаев корни проблемы уходят вовсе не в технологию. Никто не сможет напрямую вскрыть высоконадежную систему шифрования или проникнуть в сеть через хороший брандмауэр. Проблема в другом: хакеры обычно находят способы обойти технологические преграды.
И зачастую, как уверен Фабро, они опираются на человеческие слабости. Плохая реализация системы защиты, слабое руководство, недоработки в правилах - вот что создает бреши в безопасности.
“Вы просто не можете себе позволить игнорировать все происходящее” - таков вывод Фабро.